Entrust BYOK
自帶金鑰協助加強雲端資料安全控管

nShield BYOK

在 nShield BYOK,可以使用 nShield HSMs 生成、儲存和管理金鑰，以保護敏感的雲端應用程式、資料庫和大容量儲存。nShield BYOK 提供以下功能：

• 可信任的硬體根憑證。您的 nShield HSMs 是可靠的 FIPS 140-2 3 級認證防篡改設備。這些 HSMs 作為雲端服務的信任根，使您能夠安全地生成和保護加密簽章金鑰。
• 使用 nShield 管理您的金鑰。當敏感資料留在雲端應用程式中時，您可以依靠 nShield HSMs 生成和打包金鑰，並將它們安全地傳送給雲端應用程式。
• 控制金鑰的活用。因為無論是在您自己的環境還是作為即服務（nShield as a Service）的環境中，都可操控 nShield HSMs，並可以決定何時生成和匯出金鑰。透過主要副本，您還可以控制何時以及是否進一步匯出到雲端服務商。
• 選擇您的雲端服務商。在 nShield BYOK，您可以為每個金鑰決定哪個雲端服務商。靈活地從內部部署或作為即服務 nShield as a Service 的環境中為不同的應用程式選擇適合的雲端，同時在 nShield 高安全性金鑰生成和防護中得到效果。

nShield BYOK 入門

要開始為 AWS、GCP 或 Azure 使用 nShield BYOK 時，您需要 nShield HSM。您可以選擇以下解決方案：

• nShield Connect，網路連接設備
• nShield Solo，伺服器嵌入式 PCIe 卡
• nShield Edge，低容量應用的 USB 連接設備
• 即服務（nShield as a Service）
• 使用基於訂閱 nShield Connect HSMs

若在微軟 Azure 為運行提供最適保護時，請參見： docs.microsoft.com/en-us/azure/key-vault/keys/hsm-protected-keys-Entrust

如果您需要部署方面的協助，可以加購
Bring Your Own Key, Azure Professional Services

此套裝軟體包括 nShield Edge，由 Entrust 專業服務團隊提供整合，以及一年維護。也可單獨選購 nShield Connect, Solo, 或 Edge HSMs 及專業服務。

如要使用微軟開放標準將 nShield BYOK 與 AWS、GCP 或 Microsoft Azure
進行整合，您需要以下套裝軟體
Cloud Integration Option Pack

此加購包包含使用本地 nShield HSMs 生成打包、安全將金鑰傳輸和租賃到 AWS 、GCP 或使用 Azure BYOK 的 微軟 Azure 的所有內容。您也可以將 nShield BYOK 與 AWS、GCP 或 Azure 做整合，也可以使用 Entrust 專業服務來協助您無縫連接。

nShield BYOK 如何運作nShield BYOK 如何運作

Entrust 提供機制可允許您使用 nShield HSMs 生成金鑰、長期保護儲存並可以將金鑰匯出到雲端。一旦您的金鑰從本地或作為服務匯出到雲端時，您將按照以下方法之一來管理您的金鑰：

使用微軟 Azure...

使用微軟 Azure 時的最高保護，請選擇 Entrust BYOK 這滿足了允許金鑰上傳到 Azure 所必須的條件，並嚴格限制了 MSFT 在金鑰存在之後所對其執行的操作。將金鑰安全傳輸到運作在 Azure 基礎結構中的 nShield HSM，您即可在兩端獲得 HSM 的安全防護。

使用 AWS 或 GCP

可把金鑰租給 AWS 或 GCP，以便可在雲端臨時被使用。並且一段時間之後，您在雲端的金鑰將會被銷毀。如果之後還需要，可再次租用儲存在 HSM 中的金鑰。無論您選擇哪種公共雲服務，生成您自己的金鑰並控制其匯出都可以幫助您針對雲端內的敏感資料和應用程式，來建立堅強的防護力。

Entrust HSMs

Entrust nShield HSMs 是效能最高且最安全以及易於整合的 HSM 解決方案之一，遵從法規並為企業、財務和政府組織提供最高級別的資料和應用程式安全防護。我們獨特的 Security World 金鑰管理架構提供對金鑰的存取和使用，強大且細膩的控制。